Tags:
Node Thumbnail

Apache รายงานแก้ไขช่องโหว่ CVE-2021-41773 ของ Apache HTTP Server ที่เปิดทางให้คนร้ายสามารถเข้าถึงไฟล์นอก document root ได้ เปิดทางให้คนร้ายอ่านข้อมูลที่ไม่ควรอ่านได้ เช่น สคริปต์ CGI จนอาจนำไปสู่การโจมตีส่วนอื่นๆ ของระบบในที่สุด

ช่องโหว่นี้เกิดจากโค้ดที่เพิ่งใส่เข้ามาในเวอร์ชั่น 2.4.49 ที่เพิ่งออกเมื่อกลางเดือนกันยายนที่ผ่านมา โดยโค้ดส่วนตรวจสอบตำแหน่ง (path) ของไฟล์ ไม่ได้ตรวจสอบในกรณีที่ URL เข้ารหัส (encode) มา ทำให้แฮกเกอร์สามารถใช้ "%2E" แทนจุดเพื่อออกนอกโฟลเดอร์ที่กำหนดได้

แม้ Apache HTTP Server เวอร์ชั่นนี้จะเพิ่งออกมาไม่กี่สัปดาห์ แต่ตอนนี้ก็มีเซิร์ฟเวอร์ใช้งานแล้วกว่าแสนเครื่อง หากใครเพิ่งอัพเดตซอฟต์แวร์ไปก็ควรรีบอัพเดตอีกรอบ

ที่มา - Apache, Sonatype

No Description

Get latest news from Blognone

Comments

By: KuLiKo
ContributoriPhoneWindows PhoneAndroid
on 6 October 2021 - 01:18 #1226691
KuLiKo's picture

โชคดีที่ไม่ได้อัพเดตนานแล้ว...

By: tekkasit
ContributorAndroidWindowsIn Love
on 6 October 2021 - 08:46 #1226708
tekkasit's picture

ตามต้นทาง CVE-2021-41773 มันมีผลกระทบตั้งแต่ 2.4.49 นะ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 6 October 2021 - 08:50 #1226711 Reply to:1226708
lew's picture

แก้ไขตามนั้นครับ


lewcpe.com, @wasonliw

By: q0022
AndroidUbuntu
on 6 October 2021 - 08:50 #1226710
q0022's picture

[Wed Oct 06 07:11:38.344922 2021] [core:error] [pid 27314] [client 34.126.180.214:42704] AH00126: Invalid URI in request GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1
[Wed Oct 06 07:43:54.568634 2021] [core:error] [pid 28771] [client 34.126.180.214:35422] AH00126: Invalid URI in request GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1
[Wed Oct 06 08:03:09.117913 2021] [access_compat:error] [pid 30167] [client
[Wed Oct 06 08:18:27.280044 2021] [core:error] [pid 30859] [client 159.65.20.242:35232] AH00126: Invalid URI in request GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/resolv.conf HTTP/1.1

ว่าแล้ว มาเป็นชุดๆ เลย